T Biznis News #13
NOVÁ SMERNICA O KYBERNETICKEJ BEZPEČNOSTI NIS2 KLOPE SLOVENSKÝM FIRMÁM NA DVERE
Na konci roku 2022 bola schválená smernica NIS2, čím sa otvorila nová kapitola v oblasti kybernetickej bezpečnosti na úrovni Európskej únie. Transpozícia tejto smernice do zákona a príslušných vykonávacích vyhlášok bude znamenať významné rozšírenie povinností pre organizácie v súkromnom aj verejnom sektore a má za cieľ zabezpečiť vyššiu úroveň ochrany pred kybernetickými hrozbami. V tomto článku sa pozrieme na to, o čom smernica NIS2 je, koho sa týka a aké sú jej kľúčové prvky. V lete 2016 bola prijatá smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (NIS). Legislatívne upravená smernica bola transponovaná do nášho prvého zákona o kybernetickej bezpečnosti v roku 2018, konkrétne Zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti.
Cieľom smernice NIS je posilniť odolnosť a schopnosť verejných a súkromných subjektov, ako aj príslušných orgánov, čeliť kybernetickým hrozbám a zlepšiť reakčné kapacity na kybernetické incidenty.
Čo je smernica NIS2?
NIS2 je legislatívny rámec, ktorý stanovuje opatrenia na zabezpečenie vysokého spoločného štandardu kybernetickej bezpečnosti v celej Európskej únii.
Táto smernica nadobudla účinnosť dňa 16. januára 2023. Jej hlavnými cieľmi sú, rozšírenie povinných odvetví na základe ich dôležitosti pre hospodárstvo, rozdelenie subjektov na kľúčové a dôležité, zavedenie prístupu k riadeniu rizík, presnejšie ustanovenia o postupe nahlasovania incidentov a definovanie požiadaviek pre bezpečnosť dodávateľských reťazcov na úrovni EÚ. Tieto opatrenia majú za cieľ zabezpečiť vyššiu úroveň kybernetickej bezpečnosti v celej Európskej únii a zlepšiť odolnosť a schopnosti reagovať na kybernetické incidenty.
Členské štáty Európskej únie majú povinnosť implementovať ustanovenia smernice NIS2 do svojich legislatívnych rámcov do 17. októbra 2024. Implementácia smernice NIS2 zahŕňa zavedenie povinností v oblasti kybernetickej bezpečnosti pre organizácie a inštitúcie v rámci Európskej únie.
Prečo je dôležité hovoriť o smernici NIS2?
Smernica NIS2 prináša niekoľko dôležitých zmien v oblasti kybernetickej bezpečnosti. Medzi tieto zmeny patrí rozšírenie pôsobnosti smernice o nové sektory a subjekty, zavedenie jednotnej stratégie členských štátov proti kybernetickým hrozbám a problémom, a vyrovnanie rozdielov v odolnosti medzi jednotlivými členskými štátmi a odvetviami.
Implementácia smernice NIS2 bude mať vplyv na organizácie a inštitúcie v celej Európskej únii, vrátane Slovenska. Je dôležité, aby sa tieto subjekty pripravili na splnenie nových povinností v oblasti kybernetickej bezpečnosti a zvýšili svoju odolnosť voči kybernetickým hrozbám.
Vznik NIS2 bol podmienený identifikáciou viacerých problémov, na ktoré sa táto smernica zameriava:
Nedostatočná úroveň kybernetickej odolnosti podnikov pôsobiacich v EÚ.
Nekonzistentná odolnosť medzi členskými štátmi a odvetviami.
Nedostatočné spoločné chápanie hlavných hrozieb a výziev medzi členskými štátmi.
Nedostatočná spoločná reakcia na krízu.
Rastúce hrozby spôsobené digitalizáciou a prepojenosťou.
Rôzny počet povinných subjektov v krajinách EÚ.
Tieto problémy sú dôležité pre bezpečnosť sietí a informačných systémov v celej EÚ a ich riešenie je nevyhnutné pre bezproblémové fungovanie vnútorného trhu. Celkový počet povinných subjektov v EÚ je 15 676. Tieto opatrenia majú za cieľ zaistiť ochranu informačných systémov a sietí pred rôznymi hrozbami a zabezpečiť vysokú úroveň kybernetickej bezpečnosti v celej EÚ.
Kto je zasiahnutý smernicou NIS2?
Oproti predchádzajúcej verzii, smernica NIS2 značne rozširuje rozsah pôsobnosti. Vzťahuje sa na rôzne sektory, ako sú energetika, doprava, zdravotníctvo, či digitálna infraštruktúra. Pod jej pôsobnosť spadajú stredné a veľké organizácie, ktoré zamestnávajú najmenej 50 zamestnancov a dosahujú ročný obrat vo výške 10 miliónov eur. Taktiež sa vzťahuje aj na subjekty verejnej správy na centrálnej a regionálnej úrovni.
Aké bezpečnostné opatrenia sú minimálne vyžadované v NIS2?
Analýza rizík a bezpečnostná politika informačného systému
Analýza rizík a bezpečnostná politika informačného systému sú dôležité aspekty riadenia bezpečnosti informácií. Tieto opatrenia majú za cieľ identifikovať a minimalizovať riziká spojené s informačným systémom a zabezpečiť ochranu dát a informácií.
Analýza rizík je proces identifikácie, hodnotenia a riadenia rizík spojených s informačným systémom. Tento proces zahŕňa identifikáciu potenciálnych hrozieb, hodnotenie ich pravdepodobnosti a dopadu, a následné prijatie opatrení na minimalizáciu rizík.
Bezpečnostná politika informačného systému je súbor pravidiel, postupov a opatrení, ktoré určujú, ako sa má informačný systém správať a ako sa majú chrániť dáta a informácie. Táto politika by mala zahŕňať rôzne aspekty bezpečnosti, ako sú pravidlá pre používanie kryptografie a šifrovania, testovanie a auditovanie bezpečnostných opatrení a postupy na riadenie bezpečnostných rizík.
Riešenie incidentov
Riešenie incidentov je dôležitou súčasťou bezpečnostnej politiky informačného systému. Zahŕňa opatrenia na predchádzanie incidentom, ich odhaľovanie a následnú reakciu na ne.
Predchádzanie incidentom zahŕňa implementáciu bezpečnostných opatrení a postupov, ktoré majú za cieľ minimalizovať riziká a predchádzať vzniku bezpečnostných incidentov.
Odhaľovanie incidentov zahŕňa monitorovanie a detekciu potenciálnych bezpečnostných hrozieb a incidentov v informačnom systéme.
Reakcia na incidenty zahŕňa rýchlu a efektívnu reakciu na zistené bezpečnostné incidenty, vrátane vykonania potrebných opatrení na obmedzenie škôd a obnovenie normálnej prevádzky.
Časové rámce pre reakciu na incidenty sa môžu líšiť v závislosti od závažnosti incidentu. Napríklad, riešenie incidentov môže byť rozdelené na 24 hodín, 72 hodín a 30 dní, pričom závažnejšie incidenty vyžadujú rýchlejšiu reakciu.
Kontinuita činností a krízové riadenie
Kontinuita činností a krízové riadenie sú dôležité aspekty bezpečnostnej politiky informačného systému. Tieto opatrenia majú za cieľ zabezpečiť, aby organizácia bola schopná pokračovať v činnostiach aj v prípade výskytu krízy alebo nečakaných udalostí.
Kontinuita činností zahŕňa plánovanie a implementáciu opatrení na minimalizáciu prerušenia činností organizácie v prípade výskytu krízy. To môže zahŕňať zálohovanie dát, vytváranie záložných systémov a postupov, a plánovanie obnovy činností po kríze.
Krízové riadenie zahŕňa opatrenia na riadenie a riešenie krízových situácií, ako sú napríklad kybernetické útoky, prírodné katastrofy alebo iné udalosti, ktoré môžu mať vplyv na prevádzku organizácie. To môže zahŕňať vytvorenie krízového tímu, plánovanie a cvičenia krízových scenárov, a spoluprácu s relevantnými orgánmi a dodávateľmi.
Bezpečnosť dodávateľského reťazca
Bezpečnosť dodávateľského reťazca je dôležitým aspektom bezpečnostnej politiky informačného systému. Zabezpečuje, že všetci dodávatelia a poskytovatelia služieb, ktorí majú prístup k informačnému systému, dodržiavajú bezpečnostné aspekty a zodpovedajúce postupy. Toto zahŕňa:
Vzťahy medzi subjektom a jeho dodávateľmi alebo poskytovateľmi služieb: Organizácia by mala mať jasne definované bezpečnostné požiadavky pre svojich dodávateľov a poskytovateľov služieb. Tieto požiadavky by mali byť súčasťou zmlúv a dohôd s týmito subjektmi.
Bezpečnosť pri nadobúdaní, vývoji a údržbe sietí a informačných systémov: Organizácia by mala zabezpečiť, že dodávatelia a poskytovatelia služieb dodržiavajú bezpečnostné opatrenia pri nadobúdaní, vývoji a údržbe sietí a informačných systémov.
Riešenie zraniteľností a zverejňovanie informácií o zraniteľnostiach: Organizácia by mala mať postupy na riešenie zraniteľností a zverejňovanie informácií o zraniteľnostiach v informačnom systéme. Tieto postupy by mali zahŕňať monitorovanie zraniteľností, ich opravu a informovanie o nich.
Politiky a postupy na posúdenie účinnosti opatrení na riadenie bezpečnostných rizík
Politiky a postupy na posúdenie účinnosti opatrení na riadenie bezpečnostných rizík sú dôležité pre monitorovanie a hodnotenie účinnosti bezpečnostných opatrení v informačnom systéme. Tieto politiky a postupy zahŕňajú:
Testovanie a auditovanie: Organizácia by mala mať postupy na testovanie a auditovanie bezpečnostných opatrení v informačnom systéme. To zahŕňa pravidelné testovanie bezpečnostných opatrení a vykonávanie auditov na overenie ich účinnosti.
Posúdenie účinnosti opatrení na riadenie bezpečnostných rizík: Organizácia by mala mať postupy na posúdenie účinnosti opatrení na riadenie bezpečnostných rizík. To zahŕňa hodnotenie, či sú opatrenia dostatočné na minimalizáciu rizík a ochranu
Implementácia a sankcie
Implementácia smernice NIS2 je nevyhnutná pre zvýšenie kybernetickej odolnosti organizácií. Firmy a inštitúcie, ktoré nedodržia nové pravidlá, môžu čeliť sankciám až do výšky 10 miliónov eur alebo 2% z ich globálneho obratu. Hlavným cieľom však nie je penalizácia, ale podpora organizácií v posilňovaní ich kybernetickej bezpečnosti.
Kybernetická bezpečnosť na prvom mieste
Smernica NIS2 nie je len o dodržiavaní pravidiel, ide o vytváranie robustnejšieho a bezpečnejšieho digitálneho prostredia v Európskej únii. S jej pomocou môžeme očakávať zvýšenú ochranu proti kybernetickým hrozbám a posilnenie dôvery verejnosti v digitálne služby. Organizácie, ktoré začnú pracovať na konkrétnych krokoch na zvýšenie svojej kybernetickej bezpečnosti, nielenže splnia požiadavky smernice, ale tiež zvýšia svoju schopnosť odolávať neustále sa meniacim kybernetickým hrozbám. Na členské štáty teraz čaká úloha zaviesť tieto pravidlá do praxe, čo bude vyžadovať koordinované úsilie na všetkých úrovniach správy.